Pronsis utovarivač

Istraživači kibernetičke sigurnosti identificirali su novi učitavač zlonamjernog softvera pod nazivom Pronsis Loader. Ovaj učitavač je primijećen u nedavnim kampanjama isporučujući prijetnje kao što su Lumma Stealer i Latrodectus . Najranije verzije Pronsis Loadera datiraju iz studenog 2023.

Ovaj novootkriveni zlonamjerni softver pokazuje sličnosti s D3F@ck Loaderom, osobito u korištenju JPHP-kompiliranih izvršnih datoteka, čineći dva punjača u velikoj mjeri međusobno zamjenjivima. Međutim, razlikuju se u svojim metodama instalacije: dok se D3F@ck Loader oslanja na Inno Setup Installer, Pronsis Loader koristi Nullsoft Scriptable Install System (NSIS).

Pronsis Loader je dio nove kibernetičke kampanje protiv ukrajinskih ciljeva

Primjećena je operacija navodne ruske hibridne špijunaže i utjecaja koja isporučuje mješavinu Windows i Android zlonamjernog softvera za ciljanje ukrajinske vojske pod Telegramovom personom Civilna obrana.

Istraživači prate aktivnost pod imenom UNC5812. Prijetnja skupina, koja upravlja Telegram kanalom pod nazivom 'civildefense_com_ua', stvorena je 10. rujna 2024. Kanal je imao 184 pretplatnika u vrijeme analize. Također održava web stranicu na adresi 'civildefense.com.ua' koja je registrirana 24. travnja 2024.

'Civilna obrana' tvrdi da je pružatelj besplatnih softverskih programa osmišljenih da potencijalnim ročnicima omoguće pregled i dijeljenje lokacija ukrajinskih vojnih regruta. Ako se ovi programi instaliraju na Android uređaje na kojima je Google Play Protect onemogućen, oni su projektirani za implementaciju zlonamjernog softvera koji je specifičan za operativni sustav zajedno s aplikacijom za mapiranje mamca pod nazivom SUNSPINNER.

Napadači zaraze i Windows i Android uređaje

Za Windows korisnike, ZIP arhiva inicira implementaciju nedavno identificiranog učitavača zlonamjernog softvera koji se temelji na PHP-u pod nazivom Pronsis, koji olakšava distribuciju SUNSPINNER-a i gotovog kradljivaca poznatog kao PureStealer. PureStealer je dostupan za kupnju po cijenama u rasponu od 150 USD za mjesečnu pretplatu do 699 USD za doživotnu licencu.

SUNSPINNER, u međuvremenu, prikazuje kartu za korisnike koja pokazuje navodne lokacije ukrajinskih vojnih novaka, koja se kontrolira putem Command-and-Control (C2) servera kojim upravlja akter prijetnje.

Za one koji stranici pristupaju na Android uređajima, lanac napada postavlja zlonamjernu APK datoteku (naziv paketa: 'com.http.masters'), u koju je ugrađen trojanac za daljinski pristup poznat kao CraxsRAT. Web-mjesto također pruža upute žrtvama o tome kako onemogućiti Google Play Protect i dodijeliti zlonamjernoj aplikaciji puna dopuštenja, omogućujući joj rad bez ograničenja.

CraxsRAT je dobro poznata obitelj malwarea za Android, opremljena opsežnim mogućnostima daljinskog upravljanja i naprednim funkcijama špijunskog softvera, uključujući keylogging, manipulaciju gestama i mogućnost snimanja kamera, ekrana i poziva.